8月27日下午,在2021北京网络安全系列发布会上,奇安信集团副总裁吴亚东为大家带来了全新的边境安全堆栈能力的发布,聚焦安全运营,重新定义新边界安全模型。目前,加密流量已经成为网络中的主要流量,约占总流量的90%。加密流量提高了用户数据安全保护水平,但也给政企组织带来了新的安全挑战,主要包括以下几个方面:挑战一:安全问题网络中大量攻击者开始使用加密流量来规避安全检测,使恶意行为得逞且难以检测。例如,在攻防演练中,大量的加密流量导致流量分析产品和探测产品存在流量盲区,无法有效快速识别安全隐患。挑战二:管理问题加密流量加大了政企组织网络监管的难度,难以有效识别需要监管的信息,使安全与监管对立。挑战三:投入产出比问题为解决安全和管理问题,政企机构往往选择在边界部署大量安全设备进行防护。但安全设备开启流量解密后平均性能下降80%左右,传统的串口连接方式会导致性能上的桶状短板效应。因此,政府和企业组织被迫投入更多的人力和物力来购买更高性能的设备,以确保短期安全。另一方面,网络流量以39%的年复合增长率增长,采购周期缩短,采购成本增加。针对上述挑战,奇安信边境安全栈改变了传统的边境安全架构,重塑了边境安全防护体系,为政企用户提供更智能、动态的安全防护。据介绍,对于加密流量,边界安全栈采用异步调用+硬件解密的新方式,解密性能(支持TLS1.3)提升至业界传统解密方式的10.6倍,从而应对网络流中不断增加的加密。同时,边界安全栈的虚拟网元数量从5个增加到11个,以满足客户日益多样化的安全需求。边界安全栈的新能力还增加了物理网元和虚拟网络的混合服务链编排。所有安全网元都可以旁路部署,根据不同的业务需求进行流量调度、分流和负载均衡,改变传统的边界设备。安全的串口连接方式实现业务按需引流,设备在线离线业务无感知。边界安全栈混合服务链编排结合SSL高性能解密能力,可以对进入边界安全栈的加密流量先行解密,然后根据需要发送到不同的安全设备进行安全处理。所有安全设备只需要处理明文数据。显着提高设备处理性能。对于政企机构而言,采用一次解密、多次按需安全处理的方式,可以大大减少政企机构的人力物力投入,同时提升边境整体安全防护能力。边境安全栈此次发布的混合服务链编排和SSL高性能解密能力,重新定义全新的边境安全模型,改变传统的边境安全架构,重塑边境安全防护体系,为用户提供更智能、动态的安全保障保护。未来,边界安全栈还将推出“基于上下文的信息共享”和“基于安全的流量工程”,让安全设备真正实现信息共享和联防。对于多分支网络的政企组织,未来只需根据业务特点拖放安全能力支撑业务,底层流量自动分流到不同分支网络和不同物理位置。政企组织网络。它可以被安全设备处理,并充分调用每个分支网络中安全设备的能力。
